Obtenga información sobre la red y la seguridad para proteger un servidor

Navega tus respuestas
3

Estoy configurando un servidor OpenBSD que quiero conectar a Internet (se usará para alojar un sitio, por lo tanto, con Apache, SQLite y similares). Quiero que sea lo más seguro posible. La ingeniería social sería imposible ya que soy el único que sabe sobre el servidor, por lo que me gustaría asegurar el servidor tanto como pueda. En cuanto a la seguridad del sitio web, también es una preocupación, pero no tanto como el propio servidor. El sitio será extremadamente simple; La página principal está protegida por una contraseña, el .htaccess es muy restrictivo y no está indexado en los motores de búsqueda. Así que, aparte de sanear la entrada del usuario, no hay nada de qué preocuparse.

El problema es que solo tengo un conocimiento extremadamente básico de redes y seguridad (ya sea seguridad del sistema operativo, web / red ...). Estoy buscando tutoriales o libros que serían útiles para aprender;

  • el entorno Unix (shell, iptables, etc.),
  • seguridad del sistema operativo (aunque no hay nada centrado en la programación, solo tengo lo básico de C / C ++),
  • Las aplicaciones web y las redes básicas, así como la seguridad de la red, una vez que haya terminado con lo básico.

No sé si hay algo más que valga la pena analizar para proteger mi servidor. Como dije, no soy muy bueno programando. ¿Es un problema? ¿Debo ser más competente con C y C ++ antes de buscar redes y seguridad?

    
pregunta David Moore 20.06.2012 - 14:38
fuente

4 respuestas

2

Le remito a la respuesta a esta pregunta , y copiaremos las partes relevantes a continuación. También he añadido una o dos secciones al final.

Elegir una contraseña segura

Sí, todos lo hemos escuchado una y otra vez, pero probablemente no haya una forma más fácil de mejorar su seguridad. Si eres un fanático de las contraseñas, asegúrate de elegir algo que contenga suficiente entropía para que sea razonablemente seguro, y que al mismo tiempo sea fácil de memorizar. Una serie aleatoria de letras y números es excelente, pero es probable que no puedas memorizar una cadena muy larga. Cualquier cosa que incluya información personal también debe ser evitada. Mezclar su nombre con su fecha de nacimiento no es seguro, no importa el tiempo y el aspecto aleatorio que pueda tener.

Personalmente, soy un fan de las frases de paso. Elija algunas palabras aleatorias de un diccionario (elijo entre 5 y 10, dependiendo de la cantidad de entropía requerida), y probablemente haya generado suficiente entropía para mantener a un atacante adivinando durante mucho más tiempo de lo que sería práctico (consulte la XKCD sobre el tema para reírse).

Otras personas prefieren usar oraciones pasadas. Si bien estos pueden ser más largos que su frase de contraseña típica, pueden o no ser más seguros.

Para obtener más información sobre las frases de contraseña y las pasencias, consulte 'Propiedades lingüísticas de las frases de contraseña de varias palabras' por Bonneau y Shutova de la Universidad de Cambridge [PDF] , o su publicación en el blog en Papel táctil azul claro .

Instalar actualizaciones relacionadas con la seguridad

En realidad, si está ejecutando algo, asegúrese de tener las últimas actualizaciones de seguridad. Simplemente activando la Actualización automática en Windows o asegurándose de ejecutar actualizaciones a menudo en Linux puede ayudarlo a mantenerse seguro.

SSH

Si está usando SSH para acceder a su computadora de manera remota, asegúrese de apagarlo para la cuenta de root y siempre use la autenticación de clave pública. Otras cosas que puede hacer incluyen deshabilitar el protocolo 1, que permite que solo ciertos usuarios inicien sesión de forma remota y deshabilitar el reenvío de X (según sus requisitos). Para obtener más información, consulte este artículo en la wiki de CentOS.

Sitios web

Si ha configurado un sitio web en el que iniciará sesión (por ejemplo, la interfaz de administración en un CMS), siempre inicie sesión a través de SSL (p. ej., asegúrese de que su navegador dice "https: // "). Es posible comprar un certificado por un precio razonable (me gusta Rapid SSL ) o puede generar un certificado autofirmado y usa eso.

Ingeniería social

Solo para repetir mi comentario en la publicación original, la ingeniería social siempre es posible. Nunca asumas que no serás vulnerable. Es probable que no caiga en las cosas obvias (un correo electrónico de su proveedor de colo que solicita la contraseña de root para su máquina, etc.), pero incluso algo tan trivial como donde está alojada su máquina ( tal vez usted da su dirección en un formulario para algo que no tiene relación alguna con un tipo al que conoció en una cafetería) puede ser muy útil para un atacante.

WiFi

¿Inicia sesión de forma remota a través de un punto de acceso inalámbrico? Asegúrese de que está utilizando WPA2. Las conexiones WEP y de texto plano son un no. Si es su propio punto de acceso (tal vez incluso en la misma red que su servidor, aunque espero que no), asegúrese de elegir una contraseña segura (ver más arriba).

La seguridad a través de la oscuridad no es seguridad

Como lo señaló otra persona, la seguridad por oscuridad debe nunca ser vista como una medida de seguridad. El segundo de los seis principios de diseño de Kerckhoffs para los cifrados militares establece:

  

No se debe exigir que [el algoritmo] sea secreto, y debe ser capaz de caer en las manos del enemigo sin inconvenientes

Sin embargo, esto es aplicable a mucho más que los algoritmos de cifrado, y debe tomarse como una regla general en cualquier forma de ingeniería de seguridad.

Este principio también se conoce como la máxima de Shannon después de que Claude Shannon lo reformuló más simplemente como "El enemigo conoce el sistema".

    
respondido por el Sam Whited 20.06.2012 - 15:38
fuente
0

Se pueden aplicar los mismos principios de seguridad que aplicaría al proteger un servidor Linux, así que consulte aquí para empezar. También es posible que desee ver cómo proteger ssh aquí .

    
respondido por el Mark Davidson 20.06.2012 - 14:48
fuente
0

En primer lugar: no contaría con la oscuridad que protege tu servidor. Mientras esté expuesto a Internet, SERÁ vulnerable a los intentos de piratería.

A continuación, se aplican todas las reglas habituales. Cierre todos los puertos no utilizados, deshabilite los servicios no utilizados, configure las reglas de firewall adecuadas. Mantenga los servicios actualizados, especialmente con los últimos parches de seguridad. No utilice la cuenta de root a menos que sea realmente necesario. Si es necesario, solo acceda a su servidor a través de VPN.

Para el sitio web, asegúrese de protegerse contra la inyección de SQL, XSS y otras técnicas comunes de piratería de aplicaciones web.

Para la seguridad de la red, creo que un buen comienzo sería el libro de nmap. Lo estoy pasando ahora mismo, y es una lectura muy interesante.

    
respondido por el Ayrx 20.06.2012 - 14:51
fuente
0

OpenBSD es mi sistema de elección para implementaciones de seguridad frente a Internet, lo bueno de OBSD en sí mismo es que está protegido de forma predeterminada. Cuando digo que "asegurado por defecto" no quiero decir que OBSD no sea compatible, pero sabiendo que sus desarrolladores han estado implementando seguridad proactiva durante mucho tiempo, tenga la seguridad de que el nivel de compromiso del sistema es mucho menor en comparación con otros sistemas. Quizás otros usuarios de BSD en esta comunidad puedan dar fe de ello.

Con obsd puede tener tranquilidad si le preocupa la explotación remota. Por supuesto, estoy hablando de cómo se ha diseñado la pila de red en general y de cómo se ha empaquetado todo el sistema operativo, no de la capa de aplicación que puede ser objeto de la mayoría de las técnicas de ataque remoto. Tiene una protección de memoria incorporada (W ^ X), el espacio de direcciones no se puede escribir y ejecutar al mismo tiempo, por lo tanto, minimiza o casi elimina la posibilidad de ataques de desbordamiento de búfer.

En el lado de la red, si desea reforzar la casilla, puede verificar el equivalente de IPtables de BSD que es PF, tiene la normalización de paquetes.

Los tutoriales más útiles disponibles en Internet sobre cómo puede reforzar su caja BSD son:

  1. Preguntas frecuentes oficiales de OBSD: enlace : cubre las configuraciones básicas para avanzar en sus necesidades.

  2. enlace : hay algunas configuraciones especiales que probablemente le gustaría implementar en el futuro, Failover w / CARP, IPsec etc.

  3. enlace : configuraciones específicas de OBSD que puede probar.

  4. enlace : el sitio de Daniel Hartmeier. El creador de PF.

  5. Y, por supuesto, el diario OBSD - enlace

También puede consultar los libros de obsd en enlace , que anteriormente tengo el openbsd absoluto y las arquitecturas seguras. . El libro de pf quizás no podría recomendarlo porque hubo cambios en la sintaxis / parámetros de PF a partir de 5.0

    
respondido por el John Santos 20.06.2012 - 18:59
fuente

Lea otras preguntas en las etiquetas

¿La autenticación multifactor es compatible con cualquier bios actual? ¿Puede JavaScript anular la asignación aleatoria del puerto de origen?